Content-Length: 187055 | pFad | http://b.hatena.ne.jp/entry/s/kurochan-note.hatenablog.jp/entry/2022/04/18/112307

[B! JWT] サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳
  • はてなブックマーク
  • テクノロジー
  • サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳
  • Twitterでシェア
  • Facebookでシェア

サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳

テクノロジー カテゴリーの変更を依頼 記事元:kurochan-note.hatenablog.jp
適切な情報に変更
214 usersがブックマーク コメント11

    記事へのコメント11

    • 注目コメント
    • 新着コメント
    オーナーコメントを固定しています
    kuro_m88
    オーナー kuro_m88 書きました

    2022/04/18 リンク

    その他
    deep_one
    deep_one 「即時無効とは言わないが有効期限を短くしとけ」か。

    2022/04/18 リンク

    その他
    オーナーコメントを固定しています
    kuro_m88
    オーナー kuro_m88 書きました

    2022/04/18 リンク

    その他
    toritori0318
    toritori0318 有効期限を超絶短くしてリフレッシュする、でFAかなーと思ってた。しかし事は単純ではない

    2022/04/19 リンク

    その他
    strawberryhunter
    strawberryhunter 即時性を求めるならJWTの有効性を確認するために毎回DB等にアクセスしなければならない。大規模化でサーバーサイドセッションをメモリ上に保持できなくなってDB等に保存するのと大差ない。わかりきったことでは?

    2022/04/19 リンク

    その他
    tkmkg8m
    tkmkg8m “JWTが元々「認証情報の受け渡し」を意図して設計されたものでありセッション管理を意図していたわけではない”って前提を持ててれば、そのあとの判断も大きくは間違わない、はず……

    2022/04/18 リンク

    その他
    kkeisuke
    kkeisuke “ステートレスなJWTトークンは、攻撃者の機会を最小にするために、むしろ短命であるべきである。寿命の長いJWTの場合は、アクセスを取り消すためにOAuth標準に従うことが強く推奨される。”

    2022/04/18 リンク

    その他
    wkwkhautbois
    wkwkhautbois OWASP Top 10、日本語がおかしい可能性は疑えても、その下に書いてある英語が古くて違う可能性は疑わなかったなぁ。

    2022/04/18 リンク

    その他
    bluegold
    bluegold 「(寿命の長い JWTトークンについては)サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱だ」でいいのかな。JWT でステートレスなセッション管理は幻想。

    2022/04/18 リンク

    その他
    tinsep19
    tinsep19 ログアウトするのはどこ?authnサーバー?oidcクライアントであるサーバー?で、どちらかに脆弱性があるっていってたの?

    2022/04/18 リンク

    その他
    deep_one
    deep_one 「即時無効とは言わないが有効期限を短くしとけ」か。

    2022/04/18 リンク

    その他
    W53SA
    W53SA “ JWTは本来的にはセッション管理のためのものではなく認証情報の受け渡しのためのもの”

    2022/04/18 リンク

    その他
    NOV1975
    NOV1975 特定の意図で使われる際のJWT、という話であればまあ…

    2022/04/18 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳

    きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理...

    ブックマークしたユーザー

    • nyamadori2023/02/21 nyamadori
    • techtech05212023/02/11 techtech0521
    • da-yoshi-k2022/12/21 da-yoshi-k
    • n0mimono2022/09/29 n0mimono
    • yuuturn04222022/05/30 yuuturn0422
    • yggdra_w2022/05/21 yggdra_w
    • dealforest2022/05/09 dealforest
    • hiro14aki2022/05/08 hiro14aki
    • donotthinkfeel2022/05/07 donotthinkfeel
    • masayoshinym2022/04/28 masayoshinym
    • shirokurostone2022/04/23 shirokurostone
    • oinume2022/04/21 oinume
    • kat212022/04/21 kat21
    • share_stream2022/04/20 share_stream
    • kattsuk22022/04/20 kattsuk2
    • toritori03182022/04/19 toritori0318
    • tofu-kun2022/04/19 tofu-kun
    • haton142022/04/19 haton14
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.








     ApplySandwichStrip

    pFad - (p)hone/(F)rame/(a)nonymizer/(d)eclutterfier!      Saves Data!


    --- a PPN by Garber Painting Akron. With Image Size Reduction included!

    Fetched URL: http://b.hatena.ne.jp/entry/s/kurochan-note.hatenablog.jp/entry/2022/04/18/112307

    Alternative Proxies:

    Alternative Proxy

    pFad Proxy

    pFad v3 Proxy

    pFad v4 Proxy